De vraag “moeten we voor NEN 7510 of voor ISO 27001 gaan” stellen wij eigenlijk nooit. In bijna alle gevallen is het antwoord beide, en is de discussie of je voor NEN 7510 certificering een ISO 27001 basis opbouwt of andersom. Toch ontstaat in veel zorgorganisaties verwarring over hoe deze kaders zich tot elkaar verhouden. Wat is overlap, wat is uniek aan NEN 7510, en hoe organiseer je je bewijslast zonder dubbel werk?
Dit artikel zet de relatie scherp neer, met een mapping op control-niveau, een blik op de gebieden waar NEN 7510 echt verder gaat dan ISO 27001, en een werkmodel waarmee je beide kaders parallel beheert zonder dubbele administratie.
De structurele relatie
NEN 7510 is geen alternatief voor ISO 27001, het is een zorgspecifieke uitwerking ervan. Concreet:
- NEN 7510-1:2017 beschrijft het managementsysteem voor informatiebeveiliging in de zorg. Het volgt de structuur van ISO 27001 en is daarmee certificeerbaar volgens dezelfde audit-systematiek.
- NEN 7510-2:2024 geeft de control-set, gespiegeld aan ISO 27002:2022, met zorgspecifieke aanvullingen en aanscherpingen.
- NEN 7513 is de aparte norm voor logging in de zorg: het systematisch vastleggen van handelingen op elektronische patientdossiers (wie, wat, wanneer). NEN 7513 werkt de logging-beheersmaatregel uit NEN 7510-2 in detail uit.
In de praktijk betekent dit: wie een ISO 27001 ISMS heeft staan, heeft de ruggengraat van NEN 7510 al. Wie NEN 7510 implementeert, heeft een ISMS dat voldoet aan ISO 27001 in de basis.
Het verschil zit niet in het managementsysteem maar in de scope, de control-aanpassingen, en de zorgcontext waarin je moet kunnen redeneren.
Wat 1-op-1 herbruikbaar is
De controlcatalogus van NEN 7510-2 volgt de structuur van ISO 27002:2022 (de 93 controls in vier thema’s: Organizational, People, Physical, Technological). Voor de meeste controls is de tekst identiek of zeer dichtbij. Dat betekent dat de volgende categorieen bewijs vrijwel zonder wijziging hergebruikt kunnen worden:
| Domein | ISO 27002:2022 | NEN 7510-2:2024 | Hergebruik |
|---|---|---|---|
| Beleid en governance | 5.1, 5.2, 5.3 | Identiek | Volledig |
| Risicobeheer | Hoofdstuk 6 ISO 27001 | NEN 7510-1 hoofdstuk 6 | Volledig |
| Toegangsbeheer (basis) | 5.15, 5.16, 5.17, 5.18 | Identiek | Volledig |
| Cryptografie | 8.24 | Identiek met aanscherping op patientdata | Met aanvulling |
| Configuratiebeheer | 8.9 | Identiek | Volledig |
| Endpoint security | 8.1 | Identiek | Volledig |
| Network security | 8.20, 8.21, 8.22, 8.23 | Identiek | Volledig |
| Backup en herstel | 8.13 | Identiek met aanscherping op RTO/RPO patientzorg | Met aanvulling |
| Supplier relationships | 5.19 t/m 5.23 | Identiek | Volledig |
Voor deze controls geldt: het beleid dat je schrijft, de procedure die je opstelt, het bewijs dat je verzamelt: dat is allemaal hergebruikbaar tussen de twee kaders. Een access policy die voldoet aan ISO 27002 5.15 voldoet vrijwel altijd aan NEN 7510-2 5.15.
Het is hier dat het hergebruik-model van Pulse zijn directe waarde laat zien: een policy linken aan beide control-IDs is een kwestie van mapping. We zien organisaties die handmatig 200+ documenten dubbel onderhouden in twee mappenstructuren, een aanpak die binnen twee jaar onhoudbaar wordt.
Waar NEN 7510 echt verder gaat
Drie categorieen verdienen aparte aandacht: dit is waar het zorgspecifieke karakter telt, en waar je bewijs niet zonder aanvulling herbruikt vanuit ISO 27001.
1. Logging en monitoring (NEN 7513)
ISO 27002:2022 8.15 vraagt om gebeurtenissen te loggen en bewaren. NEN 7513 gaat verder en eist:
- Gedetailleerde patient access logging: wie heeft welke patientgegevens benaderd, wanneer, vanuit welke context, en met welk doel.
- Onveranderlijkheid van logs voor een minimumtermijn (vaak 5 jaar voor klinische logs).
- Periodieke review door een onafhankelijke partij binnen de organisatie.
- Alarmering op anomalieen zoals brede zoekopdrachten op naam, toegang tot dossiers van prominenten, of bulk-exporten.
In de praktijk betekent dit dat een ISO 27001 SIEM-configuratie meestal moet worden uitgebreid met EPD-specifieke audit trails en met use cases voor zorgspecifieke risico’s. Een hospital information system levert vaak native audit logs die op een SIEM aangesloten moeten worden, met retentie-eisen die afwijken van de IT-norm.
2. Patient identification en data classification
Onder ISO 27001 zijn data classes neutraal: public, internal, confidential, restricted. NEN 7510 vereist dat persoonsgegevens betreffende gezondheid expliciet worden geclassificeerd en met aanvullende waarborgen worden behandeld. Dat heeft impact op:
- Encryptie eisen: at-rest en in-transit, met aanvullende vereisten voor mobile devices en USB-overdracht.
- Pseudonimisering voor onderzoek en kwaliteitsregistraties.
- Need-to-know als operationeel principe, niet als beleidsuitspraak. Wie heeft toegang tot welke patientdossiers en waarom?
- WGBO koppeling: bewaartermijnen voor medische dossiers liggen wettelijk vast (20 jaar minimum, vaak langer) en moeten in het ISMS worden geborgd.
3. Medische apparatuur als asset class
ISO 27001 kent medische apparatuur niet als specifieke asset class. NEN 7510 wel, en stuurt op een eigen behandeling:
- Asset inventaris moet medische apparatuur expliciet bevatten met klinische functie, leverancier en bijgevoegde software.
- Patch management moet rekening houden met klinische vrijgave en CE-markering. Een patch installeren op een infuuspomp is geen IT-operatie.
- End-of-life management voor medische apparatuur die niet meer wordt ondersteund door de leverancier vraagt om aparte compensating controls (netwerksegmentatie, beperking van connectivity, monitoring).
- Incidentafhandeling op medische apparatuur loopt mogelijk via meldplichten bij IGJ en/of MDR-verplichtingen, niet alleen via de IT-incident procedure.
In de mapping naar Pulse behandelen we medische apparatuur als een eigen domein, met eigen risicoanalyse en eigen control-set, gekoppeld aan zowel NEN 7510-eisen als aan de specifieke artikelen in de Cyberbeveiligingswet die hierop terugkomen.
Waar ISO 27001 verder gaat dan NEN 7510
Er zijn ook gebieden waar ISO 27002:2022 explicieter is dan NEN 7510-2, vooral op cloud en moderne ontwikkeling:
- 5.23 Information security for use of cloud services: ISO 27002:2022 heeft hier een aparte control. NEN 7510 raakt het indirect, maar zorginstellingen die clouddiensten gebruiken kunnen niet om de ISO-formulering heen.
- 5.30 ICT readiness for business continuity: explicietere koppeling tussen ICT en BCM.
- 8.25 t/m 8.30: secure development lifecycle, secure coding, security testing, outsourced development. Voor zorginstellingen die zelf software ontwikkelen of laten ontwikkelen, is dit relevant en ontbreekt vergelijkbare diepte in NEN 7510.
Een gezond werkmodel pakt dus de unie van beide controlsets, niet de doorsnede. Dat is, opnieuw, eenvoudig in een tool waarin alle controls per domein worden gemapped; lastig in losse Excel-bestanden.
Strategische vraag: een ISMS of twee
In de praktijk komen we twee strategieen tegen.
Strategie 1: NEN 7510-first met ISO 27001 als scope-uitbreiding. Voor pure zorginstellingen (ziekenhuizen, GGZ, eerstelijn) is dit vaak het meest logisch. Je certificeert primair op NEN 7510, en kunt ISO 27001 erbij voegen door de scope te verbreden of door tegelijk te auditen (veel certificerende instellingen bieden dit aan).
Strategie 2: ISO 27001-first met NEN 7510 als sectorale uitbreiding. Voor MSP’s, IT-leveranciers en hybride zorgorganisaties die ook niet-zorgdienstverlening hebben, is dit vaak praktischer. ISO 27001 is de basis, NEN 7510 wordt ingericht voor de zorgactiviteit als sectorspecifieke scope.
In beide gevallen werk je in de praktijk met een ISMS, niet twee. Dat is een keiharde aanbeveling: het splitsen van het managementsysteem leidt tot onverenigbare beleidsuitspraken, dubbele governance, en uiteindelijk niet-verzilverbare certificaten. Eén ISMS, twee certificaten.
Bewijs slim hergebruiken
De grootste opbrengst van een goede mapping ligt in de bewijslast. Een paar voorbeelden uit de praktijk:
- Een periodieke security awareness training met deelnamebewijs is bewijs voor ISO 27002 6.3, NEN 7510-2 6.3, NIS2 artikel 21 lid 2(g), en raakt AVG artikel 32. Eén training, vier kaders.
- Een jaarlijkse penetration test met rapport is bewijs voor ISO 27002 8.8, NEN 7510-2 8.8, en kan onder NIS2 artikel 21 lid 2(e) worden geclaimd als “vulnerability handling and disclosure”.
- Een goedgekeurd risicobehandelplan is bewijs voor ISO 27001 clause 6.1.3, NEN 7510-1 clause 6.1.3, NIS2 artikel 21 lid 2(a), en raakt de AVG DPIA-systematiek.
De vraag is niet “hoe verzamel ik bewijs”, de vraag is “hoe link ik bewijs zodanig dat het zonder duplicatie tegen meerdere control-ID’s geclaimd kan worden”. Wie dat goed inricht, levert in een audit binnen seconden bewijs uit voor elke gevraagde control. Wie dat niet doet, blijft tijdens audits “in mappen zoeken”.
Aandachtspunten bij de gecombineerde audit
Vier dingen die we keer op keer terugzien bij audits die NEN 7510 en ISO 27001 combineren:
- Auditpaden vooraf afstemmen. Een auditor wil samples nemen die voor beide kaders relevant zijn. Met goede voorbereiding voorkom je dat dezelfde getuige drie keer dezelfde vraag krijgt.
- Zorgspecifieke evidence apart klaarzetten. Patient access logs, klinische continuïteitstesten, medische device inventory: dit komt alleen ter sprake in de NEN 7510-dag. Klaarleggen scheelt zenuwen.
- Beleid in één versie. Geen “NEN-versie” en “ISO-versie” van het informatiebeveiligingsbeleid. Een document, dat aantoonbaar voldoet aan beide kaders.
- Externe medische apparatuur leveranciers betrekken. Een auditor die vraagt naar SLA’s en certificering van de EPD-leverancier en geen antwoord krijgt, schrijft een minor of meer. Heb deze informatie klaar.
Hoe wij ernaar kijken
Voor Pulse Comply is de relatie tussen NEN 7510 en ISO 27001 een schoolvoorbeeld van waarom we risk-first werken. Wie de werkelijkheid van risico, domein en proces als basis neemt, en kaders als configureerbare lenzen daarop legt, zal van een nieuwe versie van NEN 7510-2 of een herziening van ISO 27002 niet wakker liggen. Een control verschuift, een mapping wordt aangepast, het bewijs blijft.
Wie de kaders als basis neemt, en de werkelijkheid daaraan ophangt, krijgt elke vijf jaar een herstructureringsproject voor zijn kiezen. Niet omdat de norm verandert, maar omdat de eigen administratie te diep verstrengeld is geraakt met een specifieke kader-versie.
Onze stelling is dus eenvoudig: certificeer voor de kaders die je markt vraagt, maar bouw je interne werkmodel onafhankelijk van die kaders. Twee certificaten, één werkelijkheid.